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BASIC-ABSTRACT: 

The protection method involves preventing the encryption key from 
being extracted by differential power analysis of the encryption 
processor by varying the order for the evaluation of the substitution 
boxes, e.g. under control of a random-number generator. The 
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evaluation for some or all of the substitution boxes may be doubled, 
with the sequence of the double evaluation also varied and random 
wait states inserted between the individual substitution box 
evaluations . 

USE - For protecting sensitive data. 

ADVANTAGE - Prevents extraction of encryption key by power analysis . 
Dwg. 1/2 
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Die folgencfon Angaben slnd den vom Anmelder eingereichten Unteriagen entnommen 

Prufungsantrag gem. § 44 PatG ist gestellt 

® Verfahren zur Absicherung der DES-Verschlusselung gegen Ausspahung der Schlussel durch Analyse der 
Stromaufnahme des Prozessors 

® Verfahren zur Absicherung der DES-Verschlusselung 
gegen Ausspahung der Schlussel durch Analyse der 
Stromaufnahme des Prozessors, wobei die Reihenfolge 
der Auswertung der S-Boxen in jeder DES-Runde zufalls- 
abhangig verandert wird. Zusatzlich konnen einige oder 
alle S-Boxen doppelt ausgewertet werden. 
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Beschreibung 

Die vorliegende Erfindung betriffi ein Verfahren zur Ab- 
sicherung der DES-Verschlusselung gegen Ausspahung der 
Schliissci durch Analyse der Stromaufnahmc des Prozcs- 
sors. 

Das DES- Verfahren (DES = Data Encryption Standard) 
wurdc bcrcits in der Mittc der 70cr Jahre entwickclt und ist 
heute weit verbreitet zur Absicherung von Daten, beispiels- 
weise bei der elektronischen tTberweisung von Geldbetra- 
gen. Der DES-Standard ist als ANSI X3.92 standardisiert 

Das DES- Verfahren funktioniert folgendermaBen: 
Die zu verschlusselnden Daten werden in Blocke von 64 Bit 
zerlegt. Jeder Block wird separat verschlusselt, indem ein 
ebcnfalls aus 64 Bit bestehender Schlusscl verwendet wird. 
Dazu wird der Block gemafi einer vorgegebenen Verfah- 
rensweise permutiert, und dann in eine linke und eine rechte 
Halflc gctcilL Es crfolgcn dann 16 Durchgange einer identi- 
schen Operation (genannt Funktion F) in der die Daten mit 
dem Schlussel kombiniert werden. Nach der 16. Runde wer- 
den die Daten wieder zu einem einzelnen 64-Bit-Block zu- 
sammengesetzt und dann ein letztes Mai permutiert, wobei 
diese zweite Permutation die inverse Operation zu der ersten 
darstellt 

In den einzelnen Runden wird jedes 8. Bit des DES- 
Schlussels ignoriert, so dafi die verbleibenden 56 Bit zur 
Verschliisselung herangezogen werden. Dabei werden diese 
56 Bit in jeder der 16 Runden abhangig von der Runde urn 
ein oder zwei Bit nach links verschoben. Daraus werden 
dann jeweils 48 Bit fur die Funktion F ausgewahlt Zuerst 
werden dann die rechten 32 Bit durch eine Expansionsper- 
mutation auf 48 Bit expandiert, sodann mit den 48 ausge- 
wahlten Bits des Schliissels durch eine AusschlieBlich- 
Oder-Operation (XOR) verkniipft Diese 48 neuen Bit wer- 
den in 6-Bit-Gruppen zerlegt und durch 8 "Substitution-Bo- 
xes" oder S-Boxen geschickt, die aus den 6-Bit 4-Bit-Grup- 
pen erzeugen. Der AbschluB der Funktion F ist die Permuta- 
tion der 32 so crhaltcncn Bits. Der Ausgangswcrt der Funk- 
tion F wird dann mit der linken Halfte der 64 Bit durch eine 
weitere XOR-Operation verkniipft Das Ergebnis dieser 
Operation wird die neue rechte Halfte und die alte rechte 
Halfte wird die neue linke Halfte. 

Der Vorteil von DES liegt darin, daB die Entschlusselung 
mit genau dem selben Verfahren erfolgen kann, und ledig- 
lich die 48-Bit-Schliissel jeder Runde in umgekehrter Rei- 
henfolge wie bei der Verschliisselung verwendet werden 
mussen. 

Zur Zcit seiner Entwicklung hiclt man dieses Verschliis- 
selungsverfahren fur praktisch nicht zu knacken, da damals 
solche Verschlusselungsverfahren nur auf GroBrechnern ab- 
laufen konnten. Heutzutage stellt sich aber das Problem, daB 
auch intelligente Chipkarten, d. h. Chipkarten mit Prozessor, 
solche Verschliisselungsverfahren verwenden sollen. Bei ei- 
ner Chipkarte besteht jedoch die Moglichkeit, jeweils den 
zeitlichen Verlauf der Stromaufhahme der Karte, der im we- 
sentlichen der Stromaufhahme des auf der Karte montierten 
Prozessors entspricht, zu messen, wahrend die Karte eine 
Verschlusselungsoperation durchfuhrt. 

Hierbei kann nun einfach die Stromaufnahme wahrend 
des Arbeitens des Prozessors auf der Karte gemessen wer- 
den. Dies nennt sich "Simple Power Analysis (SPA)". Es ist 
jedoch relativ einfach, Chipkarten zu bauen, die gegen die 
Simple Power Analysis widerstandsfahig sind. 

Es ist jedoch auch moglich, nicht einen Verschlusselungs- 
vorgang wie bei der SPA zu beobachten, sondern eine Serie 
von Verschliisselungsvorgangen mit dem gleichen Schlus- 
sel. Es lassen sich dann durch Oberlagerung der einzelnen 
zeitlichen Ablaufe der Stromaufnahme und durch statisti- 
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sche Auswertung dieser Messungen, Ruckschlusse uber den 
verwendcten Schlusscl zichen. 

Es ist daher Aufgabe der vorliegenden Erfindung, eine Er- 
mitdung der Schlussel auch bei Beobachtung der Stromauf- 
5 nahmc des Prozessors und auch untcr Vcrwcndung von 
"Differential Power Analysis" erheblich zu erschweren oder 
ganz zu verhindem. 

ErfindungsgcmaB wird diese Aufgabe dadurch gcldst, dafi 
die Reihenfolge der Auswertung der S-Boxen verandert 
10. wird. 

Besonders bevorzugt ist es dabei, die Reihenfolge der 
Auswertung der S-Boxen in jeder DES-Runde zu verandem. 

Dabei ist es besonders giinstig, die Reihenfolge der Aus- 
wertung der S-Boxen jeweils durch einen Zufallsgenerator 
15 zustcuem. 

Eine weitere Absicherung gegen statistische Analysen 
kann dadurch erfolgen, daB zusatzlich einige oder alle S-Bo- 
xen doppelt ausgewertet werden, wobei auch hicr die Rei- 
henfolge der doppelten Auswertungen nochmals verandert 

20 werden kann. 

Eine noch weiter gehende Entkopplung zwischen der 
Stromaufnahme des Prozessors und den verwendeten 
Schliisseln kann dadurch erzielt werden, daB zusatzlich noch 
zufallig verteilte Prozessorwartezyklen zwischen die einzel- 

25 ncn S-Box-Auswertungen cingeschoben werden. 

Im folgenden wird die Erfindung anhand eines Ausfuh- 
rungsbeispiels naher erlautert. Es zeigen: 

Fig. 1 den Verlauf der Stromaufnahmc bei einem Pro- 
grammablauf gem. dem Stand der Technik; und 

30 Fig. 2 den Verlauf der Stromaufnahme bei der erfindungs- 
gemaBen Losung. 

Die bekannten DES (Data Encryption Standard) Softwa- 
rerealisierungen auf Chipkarten (ICC) lassen sich mittels 
der "Differential Power Analysis" (DPA) angreifen. 

35 DPA nutzt jede Daten bzw. Adrcssabhangigkcit der ICC- 
Stromaufnahme aus. Bestimmte Operationen lassen sich in 
der ICC bzw. deren Microcode derart optimieren, dafi keine 
Datenabhangigkcit in der Stromaufnahme zu erkennen ist 
Dies ist z. B. bei der Klasse der Bitbefehle gelungen, d. h. 

40 nach der Portierung eines Standard DES-Programms auf 
eine derartige TCC ist nur noch ein DPA-Peak in den Strom- 
profilen nachweisbar. Dieser Peak wird von der S-Box Aus- 
wertung in der 15. Runde des DES-Algorithmus hervorgeru- 
fen (gleiches gilt jedoch auch fur den Angriff auf die ersten 

45 DES Runden). 

Hierbei wird aus jeweils 6 Bit der Expansionsabbildung E 
ein 4 Bit Ergebnis abgeleitet, welches nach entsprechender 
Weiterverarbcitung als Eingangsdatum fur die letzte DES 
Runde dient 

50 Diese Auswertung wird ublichcrweise mittels im ROM 
bzw. EEPROM abgelegten Tabellen durchgefuhrt. Die Er- 
kennbarkeit im Stromprofil riihrt daher, daB je nach dem, auf 
welches Tabellenelement zugegriffen werden soli, entspre- 
chende, stromintensive Anderungen auf dem Adressbus der 

55 CPU vorgenommen werden mussen. Derzeit sind gegen die- 
sen Effekt keine einsetzbaren Hardwaremafinahmen be- 
kannt. 

Die gute Erkennbarkeit dieses in Fig. 1 dargestellten 
DPA-Peaks riihrt daher, daB die Auswertung der S-Boxen 

60 immer in dem selben zeitlichen Raster und der selben Rei- 
henfolge vorgenommen wird. 

Zur Verschleierung dieses DPA-Peaks wird erfindungsge- 
mafi das folgende Verfahren vorgeschlagen: 
Die Reihenfolge der Auswertung der S-Boxen wird durch 

65 einen Zufallsgenerator gesteuert. Das heifit, die urspriingli- 
che Auswertungsreihenfolge si, s2, s3, s4, s5, s6, s7, s8 wird 
z. B. bei einer DES-Runde in die Folge s2, s3, si, s6, s7, s5, 
s4, s8 umgesetzt Bei der nachsten DES-Runde wird z. B. 
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die Auswertung in der Reihenfolge si , s6, s4, s8, s2, s3, s7, 
s5 vorgcnornrncn. Zusatzlich kann ggf. cine doppcltc Aus- 
wertung von S-Boxen vorgenommen werden, z. B. also si, 
s6, s4, s8, s2, s3, s7, si, s4, s5. Hierdurch kann eine zusatz- 
liche zcitlichc Vcrjittcrung dcr DES-Ausfuhrung erreicht 5 
werden. 

Da bei der DPA eine groBe Anzahl von Messungen bend- 
tigt wird, crhalt man crfindungsgcmaB das in Fig. 2 dargc- 
stellte Stromprofil (wobei die Rache unter den Peaks in bei- 
den Fallen wegen der Statistik wohl gleich ist). 10 

Durch diese MaBnahme wird ein groBer Peak in mehrere 
kleine Peaks aufgeteilt Hierdurch wird der Auf wand fur den 
Angreifer hohen 

- mchr Messungen sind notwendig, um cine cindcu- is 
tige Erkennbarkeit zu gewahrleisten, wegen des nun 
schlechteren Signal/Rauschverhaltnisses; 

- durch das Einschalten des Random Wait Stale Gene- 
rators wird der Aufwand fur den Angreifer nochmals 
gesteigert. 20 

Die Darstellung dieser kleinen Peaks in Fig. 2 ist namlich 
nur moglich, wenn 

- die crfindungsgcmaB randomisicrtc S-Box Auswcr- 25 
tung immer im selben Zeitraster vorgenommen wird 
und 

- der Angreifer geeignete Verfahren hat, um die erstc 
S-Box Auswertung als Startpunkt fur seine Auswer- 
tung zu erkennen. 30 

Diese Punkte lassen sich durch geeignete Software- und 
HardwaremaBnahmen weiter erschweren: 

- zcitlichc Vcrjittcrung der DES-Ausfuhrung 35 

- Random Wait State Generator 

- Current Scrambling Engine. 



Patentanspruche 40 

1. Verfahren zur Absicherung der DES-Verschlusse- 
lung gegen Ausspahung der Schlussel durch Analyse 
der Stromaufnahme des Prozessors, dadurch gekenn- 
zeichnet, daB die Reihenfolge dcr Auswertung der S- 45 
Boxen verandert wird. 

2. Verfahren nach Anspruch 1, dadurch gekennzeich- 
nct, daB die Reihenfolge der Auswertung der S-Boxcn 
in jeder DES-Runde verandert wird. 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekenn- 50 
zeichnet, daB die Reihenfolge der Auswertung der S- 
Boxen jeweils durch einen Zufallsgenerator gesteuert 
wird. 

4. Verfahren nach einem der Anspriiche 1 bis 3, da- 
durch gekennzeichnet, daB zusatzlich einige oder alle 55 
S-Boxen doppelt ausgewertet werden, wobei auch hier 
die Reihenfolge der doppelten Auswertungen noch- 
mals verandert werden kann. 

5. Verfahren nach einem der Anspriiche 1 bis 4, da- 
durch gekennzeichnet, daB zusatzlich noch zufallig 60 
vertciltc Prozcssorwartczyklcn (random wait states) 
zwischen die einzelnen S-Box-Auswertungen einge- 
schoben werden. 
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